Nieuw Trojaans paard valt 64-bits variant van Internet Explorer aan
Een nieuw ontdekt Trojaans paard valt de 64-bits versie van Internet Explorer aan. Het is de eerste keer dat een trojan specifiek gericht is op een 64-bits browser in een poging toegang te krijgen tot online bankrekeningen van slachtoffers.
Het Duitse beveiligingsbedrijf G Data meldt een nieuwe variant van de Gozi Trojan te hebben ontdekt. De Trojan voert een man-in-the-middle-aanval (MITM) uit op de 64-bits variant van Internet Explorer. De aanval op 64-bits browsers is opvallend, aangezien het infecteren van 64-bits processen aanzienlijk complexer is dan het kapen van 32-bits processen.
EAT hooking en Inline hooking
Het beveiligingsbedrijf omschrijft twee verschillende methoden om 64-bits processen te kunnen kapen: Export Adress Table (EAT) hooking en Inline hooking. De Gozi Trojan combineert beide tactieken, waardoor de malware 64-bits processen kan aanvallen.
De EAT is een tabel met aangeboden applicatie-interfaces. Door de lijst met interface-adressen in deze tabel te manipuleren is het mogelijk naar de broncode van het Trojaanse paard te verwijzen. Dit maakt een MITM-aanval mogelijk op 32-bits processen. Voor 64-bits processen is de werkwijze minder geschikt, aangezien de EAT voor 64-bits processen eveneens uit een tabel met 32-bits-adressen bestaat. De afstand tussen de adressen is echter groter, waardoor niet zeker kan worden gesteld dat in een 64-bits omgeving naar de broncode van de Trojan wordt verwezen.
Een functie kapen
Inline hooking is een methode waarbij een functie wordt gekaapt, in dit geval de SSL-functie. De malware maakt in dit geval gebruik van het feit dat programma-interfaces op Window in 32-bits processen altijd met dezelfde vijf bytes beginnen. Dit is bij 64-bits-applicaties echter niet het geval.